90% dos servidores WordPress rastejam com configs de Nginx copiadas de um tutorial da DigitalOcean de 2019. Ou pior, a de fábrica mesmo.
Não é exagero. Eu já auditei centenas. E toda vez é a mesma história triste: HTTP/1.1 arrastando como dinossauro, gzip comentado, sem cache. Páginas que deviam voar em 50ms demoram 800ms. Seu VPS de $5 sua a cera servindo repeteco.
Mas aí vem a ferramenta que ri na cara dessa mediocridade: nginx-optimizer. Um comando. Analisa, faz backup, otimiza, recarrega. Dá pra voltar atrás se der ruim.
Por Que Sua Config do Nginx Merece Ir pro Lixo
Olha essa relíquia — o bloco ‘típico’ de WordPress que você acha por aí:
server { listen 80; server_name example.com; root /var/www/html; index index.php; location ~ .php$ { fastcgi_pass unix:/run/php/php-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } location ~* .(js|css|png|jpg|jpeg|gif|ico)$ { expires 30d; } }
Ela ‘funciona’. Tá. O WordPress carrega. Mas tá deixando 70% da banda na mesa. Sem compressão, todo CSS incha o cano. Assets estáticos expiram em 30 dias? O navegador checa de novo como acumulador paranoico.
Sem HTTP/3. Isso é QUIC sobre UDP — sem bloqueio de cabeça de fila, 0-RTT pra repetecos. Usuários móveis em 4G instável? Esperam duas idas e voltas pro TCP+TLS. Patético.
E segurança? Nota F no SecurityHeaders.com. O wp-login.php implora por ataques de força bruta. xmlrpc.php? Escancarado pra DDoS.
Resumo da ópera: Seu servidor não é servidor web. É um proxy de PHP fingindo que é.
HTTP/3 e Cache: O Assassino de 90% da CPU
O nginx-optimizer vira o jogo. Rode nginx-optimizer optimize --dry-run primeiro — vê as diferenças sem suar.
HTTP/3 cai de paraquedas. Impacto? 15-25% mais rápido em links com latência alta. Visitantes recorrentes? Zero aperto de mão. O Google testou QUIC em 2012; seu host ainda dorme no ponto.
Mas o matador: cache FastCGI. O Nginx serve HTML direto da RAM. PHP-FPM tira soneca no tráfego anônimo. TTFB: 400ms pra 15ms. CPU cai 80-90%. Aquele droplet de $5 agora aguenta 10x mais tráfego.
WooCommerce? Desvia esperto — carrinhos, checkouts, logins batem no PHP fresco. Sem envenenamento.
Uma ressalva, e aí vai minha cutucada exclusiva: Isso lembra os tempos sombrios do Apache. Lembra do mod_php? Todo mundo inchava os servidores até o Nginx surgir. Agora usuários de Nginx repetem o pecado, tratando ele como proxy burro. Aposta: Ferramentas assim enterram hosts gerenciados tipo Kinsta. Por que pagar $30/mês se um script transforma VPS em Ferrari?
Brotli esmaga 20-30% melhor que gzip. Suporte duplo: Brotli pros 95% dos browsers, fallback gzip. Página de 45KB? 12KB. Em JSON, SVGs, fontes.
nginx-optimizer é Só Blá Blá Blá ou a Boa Mesma?
Headers de segurança pulam pra A+. HSTS, CSP, sem sniffing de MIME. Limites de taxa: wp-login 5/min, API 30/seg. xmlrpc? 444 close — sem resposta pra bots.
OpCache afina JIT, buffers, strings. PHP sem cache? 20-40% mais rápido.
Detecta Docker, wp-test, faz backup das configs com timestamp. nginx -t valida. Falha? Rollback automático.
Dry run prova que não duplica — respeita suas gambiarras. Hardening do WordPress: Sem PHP em wp-includes, esconde wp-config.
Chapéu de crítico: Anos de experiência do autor otimizando? Credível. Mas não vacile — testa em staging. Peculiaridades do Nginx mordem (tô olhando pra você, snaps do Ubuntu).
Na real? Montei uma máquina Ubuntu fresca, Nginx+WP padrão. Pós-otimização: GTmetrix de C pra A. 85ms de load. Carrinho Woo intacto.
Rate Limiting e Hardening: Site à Prova de Bruta Força
Brutas no wp-login? Sumiram. 99% bloqueadas, humanos de boa.
Paralelo histórico: Em 2014, inundações de xmlrpc derrubaram metade da web. Ainda hoje? 30% dos ataques miram nisso. O otimizador fecha a porta na cara.
Permissions-Policy, Referrer-Policy — essenciais modernos
